App Store Apple Tiongkok Disusupi Aplikasi Dompet Kripto Palsu Pencuri Aset
Sebanyak 26 aplikasi berbahaya di Apple App Store kedapatan menyamar sebagai dompet mata uang kripto populer—seperti Metamask, Coinbase, Trust Wallet, dan OneKey—untuk mencuri frasa pemulihan (seed/recovery phrases) dan menguras aset digital penggunanya.
Taktik Penyamaran untuk Menghindari Pemblokiran
Aktor ancaman menggunakan berbagai metode pengelabuan, termasuk typosquatting (kesalahan ejaan yang disengaja) dan peniruan merek, untuk memikat pengguna di Tiongkok agar mengunduh aplikasi mereka.
Karena aplikasi terkait kripto dibatasi secara ketat di negara tersebut, penyerang dengan cerdik menyamarkan dan menerbitkan aplikasi ini sebagai gim atau kalkulator. Taktik ini kemungkinan digunakan dengan harapan pengguna akan menganggapnya sebagai trik “jalan belakang” untuk melewati larangan nasional.
Peneliti keamanan dari Kaspersky menyatakan bahwa ke-26 aplikasi palsu ini merupakan bagian dari satu kampanye terkoordinasi yang mereka namai FakeWallet. Operasi ini juga diyakini memiliki ikatan erat dengan kampanye SparkKitty yang telah aktif sejak tahun lalu.
Modus Operandi: Sideloading dan Pencegatan Kunci
Setelah aplikasi diinstal dan dibuka, sistem akan mengarahkan pengguna ke halaman phishing yang dirancang sedemikian rupa agar terlihat seperti portal resmi layanan kripto. Berikut adalah tahapan eksploitasinya:
- Penyalahgunaan Profil Penyediaan iOS: Situs web palsu ini meyakinkan korban untuk mengunduh aplikasi dompet yang telah disisipi trojan menggunakan profil penyediaan (provisioning profiles) iOS. Ini adalah fitur tingkat perusahaan yang sah, namun disalahgunakan untuk melakukan sideloading malware langsung ke perangkat korban (teknik yang sama juga diamati pada SparkKitty).
- Pencegatan Frasa Mnemonik: Aplikasi ber-trojan ini berisi kode tambahan yang secara diam-diam mencegat frasa mnemonik korban selama proses pengaturan awal atau di layar pemulihan dompet. Data sensitif ini kemudian dienkripsi menggunakan RSA dan Base64 sebelum dikirim ke server penyerang.
- Target Dompet Dingin (Ledger): Untuk pengguna cold wallet seperti Ledger, penyerang mengandalkan prompt phishing di dalam aplikasi. Mereka menipu pengguna agar memasukkan frasa seed secara manual melalui layar “verifikasi keamanan” palsu.
Karena frasa seed ini adalah kunci mutlak untuk memulihkan dompet di perangkat baru tanpa perlu kata sandi tambahan, peretas dapat menggunakannya untuk memulihkan dompet korban di perangkat mereka sendiri dan menguras semua dana yang ada tanpa bisa dibatalkan.
Tindakan Apple dan Himbauan Keamanan
Meskipun kampanye ini terpantau utamanya menargetkan pengguna di Tiongkok, malware ini sebenarnya tidak memiliki batasan geografis bawaan. Artinya, pengguna global dapat ikut menjadi korban jika operator di baliknya memutuskan untuk memperluas jangkauan serangan.
Merespons laporan pengungkapan dari Kaspersky, Apple kini telah menghapus seluruh 26 aplikasi FakeWallet tersebut dari App Store.
Ancaman aplikasi palsu di ekosistem Apple tidak bisa diremehkan. Sebagai pengingat, minggu lalu terungkap bahwa sebuah aplikasi Ledger penipu yang berhasil lolos ke verifikasi App Store Apple telah merampok mata uang kripto senilai USD 9,5 juta (sekitar Rp151 miliar) dari 50 pengguna macOS.
Pemegang aset kripto sangat disarankan untuk selalu memeriksa ulang nama penerbit aplikasi yang mereka unduh—bahkan dari toko aplikasi resmi sekalipun—dan idealnya hanya mengklik tautan unduhan yang disediakan langsung di situs web resmi penyedia dompet.
